# Ostatnia aktualizacja 2021-01-03 # https://zabojcaspamu.pl # https://github.com/zabojcaspamu/spamassassin_rules # sa to reguly do programu spamassassin # Reguly maja dodane ZABOJCASPAMU aby bylo latwiej rozpoznac ktore sa z tej strony #!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! #!! W czesci regul trzeba zmienic ciag WLASNADOMENA na wlasna domene jaka sie administruje #!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! # Sumy kontrolne plikow https://zabojcaspamu.pl/md5sum.txt http://zabojcaspamu.pl/sha1sum.txt # Opis https://zabojcaspamu.pl/latwiejszy-format-plikow-na-stronie/ #Regula wychwytujaca czerwony kolor #https://zabojcaspamu.pl/czcionka-czerwona-w-mailu/ rawbody __ZABOJCASPAMU_RED_COLOR_1 /\W\#(ff|FF)0000\W/ rawbody __ZABOJCASPAMU_RED_COLOR_2 /[\";: ]red[\"\';]/ rawbody __ZABOJCASPAMU_RED_COLOR_3 /rgb\((?:2\d\d\|1[5-9]\d)\,\s*0\,\s*0\)/ meta ZABOJCASPAMU_RED_COLOR __ZABOJCASPAMU_RED_COLOR_1 || __ZABOJCASPAMU_RED_COLOR_2 || __ZABOJCASPAMU_RED_COLOR_3 describe ZABOJCASPAMU_RED_COLOR Wlacza sie czerwony kolor score ZABOJCASPAMU_RED_COLOR 0.5 #regula na zapytanie ofertowe #https://zabojcaspamu.pl/zapytanie-ofertowe/ header ZABOJCASPAMU_PYTANIE_OFERT Subject=~/apytanie .fertowe/ describe ZABOJCASPAMU_PYTANIE_OFERT W temacie 'Zapytanie ofertowe' score ZABOJCASPAMU_PYTANIE_OFERT 1 # https://zabojcaspamu.pl/spam-z-polski-z-koncowka-emai-com/ # regula na spam z dziwnymi z nazwiskami na A i B # Uwaga w 3 linii trzeba zastapic fraze WLASNADOMENA swoja wlasna domena czyli np header __ZABOJCASPAMU_LOGIN_NAZWISKO From=~ /(abram|Abram|abramczyk|Abramczyk|abramowicz|Abramowicz|adamczak|Adamczak|adamczyk|Adamczyk|adamek|Adamek|adamiak|Adamiak|adamik|Adamik|adamowicz|adamski|Babiarz|Babicz|Babik|Babin|Babinski|Babka|Babula|Baran|Baranek|Baranoski|Baranowski|Baranski|Barczak|Barela|Bargiel)/ header __ZABOJCASPAMU_DOMENA_MAILCOM From=~ /email\.(com|info)/ header __ZABOJCASPAMU_RP_FOR_THIS_SPAM Return-Path=~/-.{2,20}\=WLASNADOMENA@/ meta ZABOJCASPAMU_EMAILCOM __ZABOJCASPAMU_LOGIN_NAZWISKO && __LOCAL_DOMENA_MAILCOM && __LOCAL_RP_FOR_THIS_SPAM describe ZABOJCASPAMU_EMAILCOM Adres z nazwiskiem i domena z koncowka email.com score ZABOJCASPAMU_EMAILCOM 0 # wykrzykniki na koncu tematu # https://zabojcaspamu.pl/wykrzykniki-na-koncu-tematu/ header ZABOJCASPAMU_MANY_EXCL Subject =~ /\!{3,}$/ describe ZABOJCASPAMU_MANY_EXCL Subject ending exclamation mark score ZABOJCASPAMU_MANY_EXCL 1.5 #reguly dla Message-ID #https://zabojcaspamu.pl/reguly-dla-message-id/ header ZABOJCASPAMU_MSID_ZABOJCASPAMUHOST Message-ID=~/\@localhost\.localdomain>$/ describe ZABOJCASPAMU_MSID_ZABOJCASPAMUHOST Message-ID konczy sie localhost\.localdomain score ZABOJCASPAMU_MSID_ZABOJCASPAMUHOST 1.5 header ZABOJCASPAMU_MSID_ZABOJCASPAMU Message-ID=~/\.local>$/ describe ZABOJCASPAMU_MSID_ZABOJCASPAMU Message-ID konczy sie local score ZABOJCASPAMU_MSID_ZABOJCASPAMU 1 header ZABOJCASPAMU_MSID_NODOT Message-ID=~/\@[a-zA-Z0-9-]+>/ describe ZABOJCASPAMU_MSID_NODOT Message-ID po @ brak kropki score ZABOJCASPAMU_MSID_NODOT 0.2 header __ZABOJCASPAMU_FAKE_MSID0 Message-ID=~/WLASNADOMENA/ header __ZABOJCASPAMU_FAKE_MSID1 From=~/(MAILER\-DAEMON|mailer\-daemon)\@/ meta ZABOJCASPAMU_FAKE_MSID __ZABOJCASPAMU_FAKE_MSID0 && !__ZABOJCASPAMU_FAKE_MSID1 describe ZABOJCASPAMU_FAKE_MSID W message ID moje domena score ZABOJCASPAMU_FAKE_MSID 0.4 #spam z naglowkiem X-PHP-Script #https://zabojcaspamu.pl/naglowek-x-php-script-oznaka-spamu/ header ZABOJCASPAMU_X_PHP_Script exists:X-PHP-Script describe ZABOJCASPAMU_X_PHP_Script Zawiera naglowek X-PHP-Script score ZABOJCASPAMU_X_PHP_Script 4 # Wysylane przez skrypty PHP # https://zabojcaspamu.pl/maile-wysylane-przez-php/ header ZABOJCASPAMU_XMAILER_PHP X-Mailer=~/^(?:PHP|php)/ describe ZABOJCASPAMU_XMAILER_PHP Send by X-Mailer spam score ZABOJCASPAMU_XMAILER_PHP 0.5 #Regula do wywalania spamu z loginen support@ # https://zabojcaspamu.pl/duza-ilosc-spamu-z-loginem-support/ header ZABOJCASPAMU_X_PHP_Script exists:X-PHP-Script describe ZABOJCASPAMU_X_PHP_Script Zawiera naglowek X-PHP-Script score ZABOJCASPAMU_X_PHP_Script 4 header ZABOJCASPAMU_X_PHP_Originating exists:X-PHP-Originating-Script score ZABOJCASPAMU_X_PHP_Originating 0.1 describe ZABOJCASPAMU_X_PHP_Originating Has X-PHP-Originating-Script header header ZABOJCASPAMU_XMAILER_PHP X-Mailer=~/^(?:PHP|php)/ describe ZABOJCASPAMU_XMAILER_PHP Send by X-Mailer spam score ZABOJCASPAMU_XMAILER_PHP 0.5 header __ZABOJCASPAMU_SUPPORT_LOGIN_1 From=~// describe ZABOJCASPAMU_UNDERLINE Podkreślenie w tekscie score ZABOJCASPAMU_UNDERLINE 0.2 rawbody ZABOJCASPAMU_BOLD /\<(STRONG|strong)\>/ describe ZABOJCASPAMU_BOLD Boldowanie w tekscie score ZABOJCASPAMU_BOLD 0.2 #Kumple niebieski.net czyli v.tld.pl # https://zabojcaspamu.pl/kumple-niebieski-net-czyli-v-tld-pl/ header ZABOJCASPAMU_VTLDPL Received=~/smtp\.\d+\.v\.tld\.pl/ describe ZABOJCASPAMU_VTLDPL W Received jest smtp.\d+.tld.pl score ZABOJCASPAMU_VTLDPL 4 #Super kredyt i w ogóle za darmo #https://zabojcaspamu.pl/super-kredyt-i-w-ogole-za-darmo/ header ZABOJCASPAMU_SUBJECT_KREDYT Subject=~/(?:(K|k)redyt| po.{1,8}yczka)/ describe ZABOJCASPAMU_SUBJECT_KREDYT W temacie slowo kredyt lub pozyczka score ZABOJCASPAMU_SUBJECT_KREDYT 0.8 #Dalej walczymy z polem X-Mailer #https://zabojcaspamu.pl/dalej-walczymy-z-polem-x-mailer/ meta ZABOJCASPAMU_BULK_SIGNATURE DCC_CHECK || RAZOR2_CHECK || PYZOR_CHECK describe ZABOJCASPAMU_BULK_SIGNATURE Mail ma bulk score ZABOJCASPAMU_BULK_SIGNATURE 0.01 meta __ZABOJCASPAMU_XMAILER_SPAMER ZABOJCASPAMU_XMAILER_428134|| ZABOJCASPAMU_XMAILER_Ajaxel_CMS|| ZABOJCASPAMU_XMAILER_aspNetEmail|| ZABOJCASPAMU_XMAILER_Default||ZABOJCASPAMU_XMAILER_iMTA|| ZABOJCASPAMU_XMAILER_mLogic|| ZABOJCASPAMU_XMAILER_MS|| ZABOJCASPAMU_XMAILER_NeoFm|| ZABOJCASPAMU_XMAILER_Oracle|| ZABOJCASPAMU_XMAILER_PHP|| ZABOJCASPAMU_XMAILER_PROROUSERVICE|| ZABOJCASPAMU_XMAILER_SendBlaster|| ZABOJCASPAMU_XMAILER_SMART_SEND_2|| ZABOJCASPAMU_XMAILER_STREAMSEND|| ZABOJCASPAMU_XMAILER_TIDEPLATFORM|| ZABOJCASPAMU_XMAILER_Vladium meta ZABOJCASPAMU_XMAILER_BULK __ZABOJCASPAMU_XMAILER_SPAMER && ZABOJCASPAMU_BULK_SIGNATURE describe ZABOJCASPAMU_XMAILER_BULK Spamerskie XMAILER i ktorys z DCC lub RAZOR2 lub PYZOR score ZABOJCASPAMU_XMAILER_BULK 5 # Kończąc temat X-Mailer # https://zabojcaspamu.pl/konczac-temat-x-mailer/ meta __ZABOJCASPAMU_XMAILER_SPAMER ZABOJCASPAMU_XMAILER_428134|| ZABOJCASPAMU_XMAILER_Ajaxel_CMS|| ZABOJCASPAMU_XMAILER_aspNetEmail|| ZABOJCASPAMU_XMAILER_Default||ZABOJCASPAMU_XMAILER_iMTA|| ZABOJCASPAMU_XMAILER_mLogic|| ZABOJCASPAMU_XMAILER_MS|| ZABOJCASPAMU_XMAILER_NeoFm|| ZABOJCASPAMU_XMAILER_Oracle|| ZABOJCASPAMU_XMAILER_PHP|| ZABOJCASPAMU_XMAILER_PROROUSERVICE|| ZABOJCASPAMU_XMAILER_SendBlaster|| ZABOJCASPAMU_XMAILER_SMART_SEND_2|| ZABOJCASPAMU_XMAILER_STREAMSEND|| ZABOJCASPAMU_XMAILER_TIDEPLATFORM|| ZABOJCASPAMU_XMAILER_Vladium meta ZABOJCASPAMU_XMAILER_PRECEDENCE __ZABOJCASPAMU_XMAILER_SPAMER && LOCAL_PRECEDENCE_BULK describe ZABOJCASPAMU_XMAILER_PRECEDENCE Spamerskie XMAILER i dodatkoweo precedence:bulk score ZABOJCASPAMU_XMAILER_PRECEDENCE 10 #Prosimy o pusty mail #https://zabojcaspamu.pl/prosimy-o-pusty-mail/ body ZABOJCASPAMU_PUSTY_MAIL /pust(ego|y) (listu|maila?|e-?maila?)/ describe ZABOJCASPAMU_PUSTY_MAIL Pusty mail score ZABOJCASPAMU_PUSTY_MAIL 0.4 #Anomail śle spam #https://zabojcaspamu.pl/anomail-sle-spam/ header ZABOJCASPAMU_ANOMAIL Organization =~ /^AnoMail/ describe ZABOJCASPAMU_ANOMAIL Organization AnoMail score ZABOJCASPAMU_ANOMAIL 3.5 #Reguła 21 stycznia 2013 #https://zabojcaspamu.pl/regula-21-stycznia-2013/ body ZABOJCASPAMU_21STY2013 /(od dnia | dniem )21 stycznia 2013/ describe ZABOJCASPAMU_21STY2013 Od 21 stycznie 2013 mozna wysylac zapytania score ZABOJCASPAMU_21STY2013 1 #Pisze do Pana/Pani #https://zabojcaspamu.pl/pisze-do-panapani/ body ZABOJCASPAMU_PANIPANA /Pan.{0,3}\s*\/\s*Pan.{0,3}/ describe ZABOJCASPAMU_PANIPANA Zwrot Pan/Pani, Pani/Pana itd score ZABOJCASPAMU_PANIPANA 0.3 #Znak procentu w temacie #https://zabojcaspamu.pl/znak-procentu-w-temacie/ header ZABOJCASPAMU_SUBJECT_PERCENT Subject=~/\%/ describe ZABOJCASPAMU_SUBJECT_PERCENT W temacie znak procentu score ZABOJCASPAMU_SUBJECT_PERCENT 0.3 #Parowanie reguł aby zwiększyć moc #https://zabojcaspamu.pl/parowanie-regul-aby-zwiekszyc-moc/ meta ZABOJCASPAMU_TWO_DCCRED ( DCC_CHECK && ZABOJCASPAMU_RED_COLOR) describe ZABOJCASPAMU_TWO_DCCRED ( DCC_CHECK && ZABOJCASPAMU_RED_COLOR) score ZABOJCASPAMU_TWO_DCCRED 1 #Domena zawiera wiele cyfr #https://zabojcaspamu.pl/domena-zawiera-wiele-cyfr/ header ZABOJCASPAMU_DIGITS_DOMAIN From=~/\@.+\d{3,}/ describe ZABOJCASPAMU_DIGITS_DOMAIN Domena zawiera liczbe 3-cyfrowa score ZABOJCASPAMU_DIGITS_DOMAIN 0.3 #Link wypisujący z subskrypcji #https://zabojcaspamu.pl/link-wypisujacy-z-subskrypcji/ uri ZABOJCASPAMU_FSL_UNSUB_RATWARE /unsubscribe\.php\?M=[0-9]+&C=[^& ]+&L=[0-9]+&N=[0-9]+/ describe ZABOJCASPAMU_FSL_UNSUB_RATWARE Unsubscribe ratware signature score ZABOJCASPAMU_FSL_UNSUB_RATWARE 0.01 #Mam przyjemność #https://zabojcaspamu.pl/mam-przyjemnosc/ body ZABOJCASPAMU_MAM_PRZYJEMNOSC /Mam przyjemno.{1,8}/ describe ZABOJCASPAMU_MAM_PRZYJEMNOSC wystepuje fraza 'Mam przyjemnosc' score ZABOJCASPAMU_MAM_PRZYJEMNOSC 0.2 #Pole X-PHP-Originating-Script #https://zabojcaspamu.pl/pole-x-php-originating-script/ header ZABOJCASPAMU_X_PHP_Originating exists:X-PHP-Originating-Script describe ZABOJCASPAMU_X_PHP_Originating Has X-PHP-Originating-Script header score ZABOJCASPAMU_X_PHP_Originating 4 #Prosimy o zwrotną wiadomosc #https://zabojcaspamu.pl/prosimy-o-zwrotna-wiadomosc/ body ZABOJCASPAMU_ZWROTNA_WIADOMOSC /wiadomo.{1,8} zwrotn.{1,8}|wiadomo(?:.{1,8}ci|.{1,10}) zwrotn(?:ej|.)|zwrotn(ej|.) wiadomo(.{1,8}ci|..)/ describe ZABOJCASPAMU_ZWROTNA_WIADOMOSC zwrotna wiadomosc score ZABOJCASPAMU_ZWROTNA_WIADOMOSC 2.5 # Parowanie regul # https://zabojcaspamu.pl/parowanie-regul/ meta ZABOJCASPAMU_TWO_4427 ( ZABOJCASPAMU_MSID_LOCALHOST && ZABOJCASPAMU_XMAILER) describe ZABOJCASPAMU_TWO_4427 ( ZABOJCASPAMU_MSID_LOCALHOST && ZABOJCASPAMU_XMAILER) score ZABOJCASPAMU_TWO_4427 0.5 meta ZABOJCASPAMU_TWO_4 ( DEAR_SOMETHING && FREEMAIL_FROM) describe ZABOJCASPAMU_TWO_4 ( DEAR_SOMETHING && FREEMAIL_FROM) score ZABOJCASPAMU_TWO_4 1 meta ZABOJCASPAMU_TWO_275 ( FREEMAIL_FROM && LOTS_OF_MONEY) describe ZABOJCASPAMU_TWO_275 ( FREEMAIL_FROM && LOTS_OF_MONEY) score ZABOJCASPAMU_TWO_275 0.7 meta ZABOJCASPAMU_TWO_17126 ( MIME_HTML_ONLY && MPART_ALT_DIFF) describe ZABOJCASPAMU_TWO_17126 ( MIME_HTML_ONLY && MPART_ALT_DIFF) score ZABOJCASPAMU_TWO_17126 0.8 meta ZABOJCASPAMU_TWO_6151 ( FUZZY_CREDIT && MIME_HTML_ONLY) describe ZABOJCASPAMU_TWO_6151 ( FUZZY_CREDIT && MIME_HTML_ONLY) score ZABOJCASPAMU_TWO_6151 1.5 meta ZABOJCASPAMU_TWO_5358 ( FUZZY_CREDIT && HTML_MESSAGE) describe ZABOJCASPAMU_TWO_5358 ( FUZZY_CREDIT && HTML_MESSAGE) score ZABOJCASPAMU_TWO_5358 0.5 #Mail zawiera naglowek X-Campaign #https://zabojcaspamu.pl/mail-zawiera-naglowek-x-campaign/ header ZABOJCASPAMU_XCAMP exists:X-Campaign describe ZABOJCASPAMU_XCAMP Zawiera X-Campaign score ZABOJCASPAMU_XCAMP 2 header ZABOJCASPAMU_XCAMPID exists:X-CampaignID describe ZABOJCASPAMU_XCAMPID Zawiera X-CampaignID score ZABOJCASPAMU_XCAMPID 2 #Freshmail ciagly spamer #https://zabojcaspamu.pl/freshmail-ciagly-spamer/ header ZABOJCASPAMU_XABUSE_FRESH X-Abuse=~/support\.freshmail\.com/ describe ZABOJCASPAMU_XABUSE_FRESH X-Abuse zawiera support.freshmail.com score ZABOJCASPAMU_XABUSE_FRESH 1 #Kuszenie darmowym lub gratisem #https://zabojcaspamu.pl/kuszenie-darmowym-lub-gratisem/ header ZABOJCASPAMU_SUBJECT_DARMO Subject=~/(?: darmo| gratis|bez op.{1,8}at)/ describe ZABOJCASPAMU_SUBJECT_DARMO W temacie znajduje sie ' darmo' 'gratis' score ZABOJCASPAMU_SUBJECT_DARMO 0.5 #Spamerskie loginy w adresach nadawców #https://zabojcaspamu.pl/796/ header ZABOJCASPAMU_FROM_LOGIN_STUP From=~ /(?:marketing|foryou|news\d|mailing|root|mailer|kampanie|reklama|oferta|anonymous|www-data|http|szkolenia|kurys)\@/ describe ZABOJCASPAMU_FROM_LOGIN_STUP From mailing,marketing,root,mailer,http,reklama,oferta,anonymous,www-data,szkolenia,kursy score ZABOJCASPAMU_FROM_LOGIN_STUP 1 #Dużo adresatów w jawnej kopii #https://zabojcaspamu.pl/duzo-adresatow-w-jawnej-kopii/ header ZABOJCASPAMU_TO_TOO_MANY To =~ /(?:,[^,]{1,80}){30}/ describe ZABOJCASPAMU_TO_TOO_MANY To: too many recipients score ZABOJCASPAMU_TO_TOO_MANY 1 #dziwne postacie domen #https://zabojcaspamu.pl/dziwne-postacie-domen/ header ZABOJCASPAMU_DIGITS_DOMAIN From=~/\@.+\d{3,}/ describe ZABOJCASPAMU_DIGITS_DOMAIN Domena zawiera liczbe 3-cyfrowa score ZABOJCASPAMU_DIGITS_DOMAIN 0.2 #maile z fraza news0 #https://zabojcaspamu.pl/adres-z-fraza-news0/ header ZABOJCASPAMU_RETURNPATH_ATHOST Return-Path=~/\@host\d+\./ describe ZABOJCASPAMU_RETURNPATH_ATHOST W Return path jest '@host\d+.' score ZABOJCASPAMU_RETURNPATH_ATHOST 0.3 #falszywe DHLe #https://zabojcaspamu.pl/falszywe-przesylki-dhl/ header __ZABOJCASPAMU_FAKE_DHL_1 From=~/(DHL|dhl)/ header __ZABOJCASPAMU_FAKE_DHL_2 Subject=~/\d{9,11}/ meta ZABOJCASPAMU_FAKE_DHL __ZABOJCASPAMU_FAKE_DHL_1 && __ZABOJCASPAMU_FAKE_DHL_2 && ZABOJCASPAMUL_FAKE_MSID describe ZABOJCASPAMU_FAKE_DHL Falszywa wiadomosc o wysylce DHL score ZABOJCASPAMU_FAKE_DHL 10 #niebieski.net sprawdzamy po IP #https://zabojcaspamu.pl/niebieski-net-sprawdzamy-po-ip/ header EXPERMINETAL_NIEBIESKI_IP ALL=~/(195\.149\.228\.82|195\.149\.229\.171|94\.152\.140\.255|94\.152\.142\.214|94\.152\.193\.100|94\.152\.193\.101|94\.152\.193\.102|94\.152\.193\.103|94\.152\.193\.104|94\.152\.193\.105|94\.152\.193\.106|94\.152\.193\.107|94\.152\.193\.110|94\.152\.193\.111|94\.152\.193\.112|94\.152\.193\.113|94\.152\.193\.116|94\.152\.193\.117|94\.152\.193\.120|94\.152\.193\.121|94\.152\.193\.122|94\.152\.193\.123|94\.152\.193\.124|94\.152\.193\.125|94\.152\.193\.126|94\.152\.193\.127|94\.152\.193\.131|94\.152\.193\.132|94\.152\.193\.133|94\.152\.193\.134|94\.152\.193\.135|94\.152\.193\.136|94\.152\.193\.137|94\.152\.193\.138|94\.152\.193\.23|94\.152\.193\.24|94\.152\.193\.25|94\.152\.193\.26|94\.152\.193\.27|94\.152\.193\.28|94\.152\.193\.29|94\.152\.193\.30|94\.152\.193\.31|94\.152\.193\.32|94\.152\.193\.33|94\.152\.193\.34|94\.152\.193\.35|94\.152\.193\.36|94\.152\.193\.37|94\.152\.193\.38|94\.152\.193\.39|94\.152\.193\.40|94\.152\.193\.41|94\.152\.193\.42|94\.152\.193\.43|94\.152\.193\.44|94\.152\.193\.45|94\.152\.193\.46|94\.152\.193\.47|94\.152\.193\.48|94\.152\.193\.49|94\.152\.193\.50|94\.152\.193\.51|94\.152\.193\.52|94\.152\.193\.53|94\.152\.193\.54|94\.152\.193\.55|94\.152\.193\.60|94\.152\.193\.61|94\.152\.193\.62|94\.152\.193\.63|94\.152\.193\.66|94\.152\.193\.67|94\.152\.193\.68|94\.152\.193\.69|94\.152\.193\.70|94\.152\.193\.71|94\.152\.193\.72|94\.152\.193\.73|94\.152\.193\.74|94\.152\.193\.75|94\.152\.193\.76|94\.152\.193\.77|94\.152\.193\.78|94\.152\.193\.79|94\.152\.193\.80|94\.152\.193\.81|94\.152\.193\.82|94\.152\.193\.83|94\.152\.193\.84|94\.152\.193\.85|94\.152\.193\.86|94\.152\.193\.87|94\.152\.193\.88|94\.152\.193\.89|94\.152\.193\.92|94\.152\.193\.93|94\.152\.193\.94|94\.152\.193\.95|94\.152\.193\.96|94\.152\.193\.97|94\.152\.193\.98|94\.152\.193\.99)/ describe EXPERMINETAL_NIEBIESKI_IP IP w Received z zakresu niebieski.net score EXPERMINETAL_NIEBIESKI_IP 0.3 #wysyp maile z dhlu #https://zabojcaspamu.pl/alert-wysyp-lepiej-przygotowanego-ataku-przesylka-dhl/ header __ZABOJCASPAMU_FAKE_DHL2_1 Subject=~/(Sendung|Versand) \d{9,12}/ header __ZABOJCASPAMU_FAKE_DHL2_2 From:addr=~/dhl\./ meta ZABOJCASPAMU_FAKE_DHL2 __ZABOJCASPAMU_FAKE_DHL2_1 && ! __ZABOJCASPAMU_FAKE_DHL2_2 describe ZABOJCASPAMU_FAKE_DHL2 Falszywa wiadomosc o wysylce DHL (v2) score ZABOJCASPAMU_FAKE_DHL2 10 header __ZABOJCASPAMU_FAKE_DHL3_1 From=~/DHL/ header __ZABOJCASPAMU_FAKE_DHL3_2 From:addr=~/(dhl\.|dhl24\.)/i meta ZABOJCASPAMU_FAKE_DHL3 __ZABOJCASPAMU_FAKE_DHL3_1 && !__ZABOJCASPAMU_FAKE_DHL3_2 describe ZABOJCASPAMU_FAKE_DHL3 Falszywa wiadomosc o wysylce DHL (v3) score ZABOJCASPAMU_FAKE_DHL3 10 header EXPERIMENTAL_FAKE_DHL4 Subject=~/przesylk. DHL/ describe EXPERIMENTAL_FAKE_DHL4 Falszywa wiadomosc o wysylce DHL (v4) score EXPERIMENTAL_FAKE_DHL4 10 header __EXPERIMENTAL_FAKE_DHL5_1 From=~/DHL/ header __EXPERIMENTAL_FAKE_DHL5_2 exists:DKIM-Signature header __EXPERIMENTAL_FAKE_DHL5_3 ALL=~/d=dhl\.com\; / header __EXPERIMENTAL_FAKE_DHL5_4 Authentication-Results=~/ dkim=pass/ meta EXPERIMENTAL_FAKE_DHL5 __EXPERIMENTAL_FAKE_DHL5_1 && (!__EXPERIMENTAL_FAKE_DHL5_2 || ! __EXPERIMENTAL_FAKE_DHL5_3 || ! __EXPERIMENTAL_FAKE_DHL5_4) describe EXPERIMENTAL_FAKE_DHL5 falszywa wiadomosc o Wysylce DHL (v5 sprawdzanie DKIM) score EXPERIMENTAL_FAKE_DHL5 0.01 header __ZABOJCASPAMU_FAKE_DHL6_1 From=~/(dhl|DHL)\./ header __ZABOJCASPAMU_FAKE_DHL6_2 From:addr=~/dhl\./i meta ZABOJCASPAMU_FAKE_DHL6 __ZABOJCASPAMU_FAKE_DHL6_1 && ! __ZABOJCASPAMU_FAKE_DHL6_2 describe ZABOJCASPAMU_FAKE_DHL6 falszywa wiadomosc o Wysylce DHL (v6 dhl. sie wyswietla a nie ma w adresie) score ZABOJCASPAMU_FAKE_DHL6 10 #iPKO spoofing #https://zabojcaspamu.pl/phishing-na-ipko-sie-uaktywnil/ header __ZABOJCASPAMU_FROM_IPKO_SPOOF_1 Subject=~/ iPKO/ rawbody __ZABOJCASPAMU_FROM_IPKO_SPOOF_2 /\ www.ipko.pl <\/a>/ meta ZABOJCASPAMU_FROM_IPKO_SPOOF __ZABOJCASPAMU_FROM_IPKO_SPOOF_1 && __ZABOJCASPAMU_FROM_IPKO_SPOOF_2 describe ZABOJCASPAMU_FROM_IPKO_SPOOF Spoofing o iPKO score ZABOJCASPAMU_FROM_IPKO_SPOOF 10 #Rachunki z Telekomu #https://zabojcaspamu.pl/niemieckie-rachunki-z-telekom-de/ header __ZABOJCASPAMU_RECHNUNG_201506111_1 Subject=~/Ihre Telekom Festnetz\-Rechnung/ header __ZABOJCASPAMU_RECHNUNG_201506111_2 From=~/Telekom/ header __ZABOJCASPAMU_RECHNUNG_201506111_3 From:addr=~/telekom\./ meta ZABOJCASPAMU_RECHNUNG_201506111 __ZABOJCASPAMU_RECHNUNG_201506111_1 && __ZABOJCASPAMU_RECHNUNG_201506111_2 && ! __ZABOJCASPAMU_RECHNUNG_201506111_3 describe ZABOJCASPAMU_RECHNUNG_201506111 Spam z Ihre Telekom Festnetz-Rechnung score ZABOJCASPAMU_RECHNUNG_201506111 10 header __ZABOJCASPAMU_RECHNUNG_201506112_1 From=~/Telekom/ uri_detail __ZABOJCASPAMU_RECHNUNG_201506112_2 text=~/www\.(t-online|telekom)\.de/ cleaned!~/(t-online|telekom)\.de/ meta ZABOJCASPAMU_RECHNUNG_201506112 __ZABOJCASPAMU_RECHNUNG_201506112_1 && __ZABOJCASPAMU_RECHNUNG_201506112_2 describe ZABOJCASPAMU_RECHNUNG_201506112 Fake Telekom po niemiecku score ZABOJCASPAMU_RECHNUNG_201506112 10 # Spoof iPKO # https://zabojcaspamu.pl/phishing-na-ipko-sie-uaktywnil/ header __ZABOJCASPAMU_FROM_IPKO_SPOOF_1 Subject=~/ iPKO/ rawbody __ZABOJCASPAMU_FROM_IPKO_SPOOF_2 /\ www.ipko.pl <\/a>/ meta ZABOJCASPAMU_FROM_IPKO_SPOOF __ZABOJCASPAMU_FROM_IPKO_SPOOF_1 && __ZABOJCASPAMU_FROM_IPKO_SPOOF_2 describe ZABOJCASPAMU_FROM_IPKO_SPOOF Spoofing o iPKO #Niemieckie rachunki z Telekom.de #https://zabojcaspamu.pl/niemieckie-rachunki-z-telekom-de/ header __ZABOJCASPAMU_RECHNUNG_201506111_1 Subject=~/Ihre Telekom Festnetz\-Rechnung/ header __ZABOJCASPAMU_RECHNUNG_201506111_2 From=~/Telekom/ header __ZABOJCASPAMU_RECHNUNG_201506111_3 From:addr=~/telekom\./ meta ZABOJCASPAMU_RECHNUNG_201506111 __ZABOJCASPAMU_RECHNUNG_201506111_1 && __ZABOJCASPAMU_RECHNUNG_201506111_2 && ! __ZABOJCASPAMU_RECHNUNG_201506111_3 describe ZABOJCASPAMU_RECHNUNG_201506111 Spam z Ihre Telekom Festnetz-Rechnung score ZABOJCASPAMU_RECHNUNG_201506111 10 score ZABOJCASPAMU_FROM_IPKO_SPOOF 10 #Twoja skrzynka zostala zablokowana #https://zabojcaspamu.pl/twoja-skrzynka-zostala-zablokowana/ #Poprawiona regula https://zabojcaspamu.pl/skrzynka-pocztowa-zostala-tymczasowo-zawieszona/ header __ZABOJCASPAMU_TWOJASKRZYNKA_1 From=~/(System Admin|IT ADMIN|Admin)/ header __ZABOJCASPAMU_TWOJASKRZYNKA_2 Subject=~/(Zostala Tymczasowo Zawieszona|woja skrzynka pocztowa zostala czasowo|Twoje konto email przekroczyles limitu bagazu|OSTRZEZENIE|Konto E-mail Zostal Zawieszony)/ meta ZABOJCASPAMU_TWOJASKRZYNKA __LOCAL_TWOJASKRZYNKA_1 && __LOCAL_TWOJASKRZYNKA_2 describe ZABOJCASPAMU_TWOJASKRZYNKA Email o przeplnionej skrzynce score ZABOJCASPAMU_TWOJASKRZYNKA 10 #Polski echelon #https://zabojcaspamu.pl/polski-system-echelon-belkocze/ header ZABOJCASPAMU_SYSTEMECHELON From=~/System Echelon/ describe ZABOJCASPAMU_SYSTEMECHELON Belkot z Systemu Echelon score ZABOJCASPAMU_SYSTEMECHELON 10 #Virgin Money o pracy zarobkach itd #https://zabojcaspamu.pl/spam-z-polem-from-bez-domeny/ header __ZABOJCASPAMU_FROM_NO_DOMAIN1 Return-Path=~/<>/ header __ZABOJCASPAMU_FROM_NO_DOMAIN2 From:addr=~/\@\s*$/ meta ZABOJCASPAMU_FROM_NO_DOMAIN __ZABOJCASPAMU_FROM_NO_DOMAIN1 && __ZABOJCASPAMU_FROM_NO_DOMAIN2 describe ZABOJCASPAMU_FROM_NO_DOMAIN Pole Return-Path <> a From:addr bez domeny score ZABOJCASPAMU_FROM_NO_DOMAIN 10 #Spam z domeny xyz #https://zabojcaspamu.pl/drazniacy-spam-z-domeny-xyz/ header ZABOJCASPAMU_SERVICEMXXYZ From:addr=~/service\d+\@mx\d+\.(m|s)[a-z]+\.xyz$/ describe ZABOJCASPAMU_SERVICEMXXYZ Z adresu postaci service1@mx1.mcostam.xyz score ZABOJCASPAMU_SERVICEMXXYZ 10 #czy w domenie jest DKIM #https://zabojcaspamu.pl/spf-i-dkim-pomagaja-ubijac-spam/ header __ZABOJCASPAMU_FROM_DKIM_SIGNER2 From:addr =~ /\@(yahoo\.|gmail\.com|googlemail\.com|facebookmail\.com|goldenline\.pl|gumtree\.pl|interia\.pl|nasza\-klasa\.pl|praca\.pl|pro\.onet\.pl|yahoo\.pl)/ header __ZABOJCASPAMU_DKIM_EXISTS_D DKIM-Signature=~/d=(yahoo\.|gmail\.com|googlemail\.com|facebookmail\.com|wp\.pl|goldenline\.pl|gumtree\.pl|interia\.pl|nasza\-klasa\.pl|praca\.pl|pro\.onet\.pl|yahoo\.pl)/m meta ZABOJCASPAMU_DKIM_NO_EXISTS __ZABOJCASPAMU_FROM_DKIM_SIGNER2 && ! __ZABOJCASPAMU_DKIM_EXISTS_D describe ZABOJCASPAMU_DKIM_NO_EXISTS Powinien byc DKIM a nie ma score ZABOJCASPAMU_DKIM_NO_EXISTS 3 #Message-ID od v.tld.pl #https://zabojcaspamu.pl/message-id-od-v-tld-pl/ header ZABOJCASPAMU_MSID_VTLD Message-ID=~/\@\d+\.v\.tld\.pl/ describe ZABOJCASPAMU_MSID_VTLD Message id z v.tld.pl score ZABOJCASPAMU_MSID_VTLD 10 #Zarabianie na gieldzie #https://zabojcaspamu.pl/program-ktory-sam-zrobi-ze-bedziesz-bogaty/ body __ZABOJCASPAMU_GIELDA_AI1 /\[ https:\/\/[a-z.-]+\/[a-z\/]+\.php\?b=2 \]/ body __ZABOJCASPAMU_GIELDA_AI2 /(ztuczna inteligencj|czlowiek spi|rogram zrobi wszystko|nwestujac|owiedz sie i zacznij|iemieccy matematycy |iemieccy uczeni|ktory handluje|na gieldzie|rynek gieldowy|wszystko sam)/ meta ZABOJCASPAMU_GIELDA_AI __ZABOJCASPAMU_GIELDA_AI1 && __ZABOJCASPAMU_GIELDA_AI2 describe ZABOJCASPAMU_GIELDA_AI Namawianie do gry na gieldzie score ZABOJCASPAMU_GIELDA_AI 10 rawbody ZABOJCASPAMU_BOGATY /\[ http:\/\/[a-z.-]+\/[a-z\/]+\.php\?b=2 \] \b[a-z\s]+/ describe ZABOJCASPAMU_BOGATY mail ze zostaniesz bogaty i program do gieldy score ZABOJCASPAMU_BOGATY 5 # Wysyp maili z eval code # https://zabojcaspamu.pl/wysyp-maili-z-eval-code/ header ZABOJCASPAMU_EVAL_CODE X-PHP-Originating-Script=~/eval\(\)'d code/ describe ZABOJCASPAMU_EVAL_CODE X-PHP-Originating-Script zawiera eval\(\)'d code score ZABOJCASPAMU_EVAL_CODE 10 # 40 pln za darmo # https://zabojcaspamu.pl/40-pln-za-darmo/ uri ZABOJCASPAMU_40PLNZADARMO1 /40plnzadarmo\.com/ describe ZABOJCASPAMU_40PLNZADARMO1 Link z 40plnzadarmo.com score ZABOJCASPAMU_40PLNZADARMO1 10 header __ZABOJCASPAMU_40PLNZADARMO2f From=~/40/ uri __ZABOJCASPAMU_40PLNZADARMO2u /40plnzadarmo\.com/ meta ZABOJCASPAMU_40PLNZADARMO2 __ZABOJCASPAMU_40PLNZADARMO2f && __ZABOJCASPAMU_40PLNZADARMO2u describe ZABOJCASPAMU_40PLNZADARMO2 Link z 40plnzadarmo.com score ZABOJCASPAMU_40PLNZADARMO2 10 # Falszywe przesylki z Poczty Polskiej # https://zabojcaspamu.pl/falszywe-przesylki-z-poczty-polskiej/ header __ZABOJCASPAMU_POCZTAPOLSKA_1 From=~/Poczta Polska/ header __ZABOJCASPAMU_POCZTAPOLSKA_2 From:addr=~/poczta\-polska\.pl/ meta ZABOJCASPAMU_POCZTAPOLSKA1 _ZABOJCASPAMU_POCZTAPOLSKA_1 && ! __ZABOJCASPAMU_POCZTAPOLSKA_2 describe ZABOJCASPAMU_POCZTAPOLSKA1 Falszywy adres z Poczty Polskiej score ZABOJCASPAMU_POCZTAPOLSKA1 10 header __ZABOJCASPAMU_POCZTAPOLSKA_3 From=~/Poczta Polska/ meta ZABOJCASPAMU_POCZTAPOLSKA2 __ZABOJCASPAMU_POCZTAPOLSKA_3 && ! SPF_PASS describe ZABOJCASPAMU_POCZTAPOLSKA2 Wymagane SPF dla Poczta Polska score ZABOJCASPAMU_POCZTAPOLSKA2 10 # W nadawcy @news lub @info # https://zabojcaspamu.pl/w-nadawcy-news-lub-info/ header ZABOJCASPAMU_RETURNPATH_ATHOST Return-Path=~/\@(host|news)\d+\./ describe ZABOJCASPAMU_RETURNPATH_ATHOST W Return path jest '@(host|news)\d+.' score ZABOJCASPAMU_RETURNPATH_ATHOST 0.5 # Gumtree i ogloszenia o prace # https://zabojcaspamu.pl/gumtree-i-ogloszenia-o-prace/ header ZABOJCASPAMU_GUMTREE Subject=~/Poniżej znajduje się odpowiedź na Twoje ogłoszenie Gumtree/ describe ZABOJCASPAMU_GUMTREE Informacja ze ogloszenie z gumtree score ZABOJCASPAMU_GUMTREE -10 # Za dlugi temat # https://zabojcaspamu.pl/za-dlugi-temat/ header ZABOJCASPAMU_VERY_LONG_SUBJ Subject=~/.{100,}/ describe ZABOJCASPAMU_VERY_LONG_SUBJ Bardzo dlugi temat score ZABOJCASPAMU_VERY_LONG_SUBJ 0.3 # Firmy zbierajace maile # https://zabojcaspamu.pl/firmy-zbierajace-maile/ body ZABOJCASPAMU_HARVEST_MAILI /(?:Yintaro Sp. z o.o.|LEAD RATE LTD|Leadstream Sp\. z o\.o|New Ursa Sp\. z o\.o|przez serwis domenabiznesu\.pl|przez redsales\.pl|BuyTogether|ProDirect Sp\. z o\.o|SANMARKS Sp\. z o\.o|Polsk.{1,8} Agencj{1,14} Satelitarn.{1,8} Orbita S\. A\.|wyjatkoweoferty\.pl|SANMARKS Sp\. z o\.o|HBI Polska|KOMPASS Poland|Kompass Poland|IPEiK|UAB |TeleCom|Venito-Reklama|biz-catalogs|ProDirect Sp|OpenRate )/ describe ZABOJCASPAMU_HARVEST_MAILI Pada nazwa firm harvestujacych maile(HBI,KOMPASS,IPEiKi,UAB(Venito-Reklama),biz-catalogs,ProDirect Sp,TeleCom) score ZABOJCASPAMU_HARVEST_MAILI 4 # Twoja skrzynak zostala zablokowana # https://zabojcaspamu.pl/skrzynka-pocztowa-zostala-tymczasowo-zawieszona/ header __ZABOJCASPAMU_TWOJASKRZYNKA_1 From=~/(System Admin|IT ADMIN|Admin)/ header __ZABOJCASPAMU_TWOJASKRZYNKA_2 Subject=~/(YOUR EMAIL ACCOUNT SUSPENSION NOTICE|Zostala Tymczasowo Zawieszona|woja skrzynka pocztowa zostala czasowo|Twoje konto email przekroczyles limitu bagazu|OSTRZEZENIE!!!)/ meta ZABOJCASPAMU_TWOJASKRZYNKA __LOCAL_TWOJASKRZYNKA_1 && __LOCAL_TWOJASKRZYNKA_2 describe ZABOJCASPAMU_TWOJASKRZYNKA Email o przeplnionej skrzynce score ZABOJCASPAMU_TWOJASKRZYNKA 10 # Login zawiera wiele cyfr # https://zabojcaspamu.pl/login-zawiera-wiele-cyfr/ header ZABOJCASPAMU_MANY_DIGITS_MAIL From:addr =~ /\d{7,}/ describe ZABOJCASPAMU_MANY_DIGITS_MAIL Email has many digits score ZABOJCASPAMU_MANY_DIGITS_MAIL 0.1 # W tytule slowo sprawdz # https://zabojcaspamu.pl/w-tytule-slowo-sprawdz/ header ZABOJCASPAMU_SUBJ_SPRAWDZ Subject=~/(?:(S|s)prawd=C5|(S|s)prawdź|(S|s)prawd=BC)/ describe ZABOJCASPAMU_SUBJ_SPRAWDZ Slowo sprawdz w temacie score ZABOJCASPAMU_SUBJ_SPRAWDZ 0.4 # Duze czcionki w mailu # https://zabojcaspamu.pl/duze-czcionki-w-mailu/ rawbody ZABOJCASPAMU_LARGE_SIZE_FONT /font-size:\s*(2[0-9]|3[0-9]|4[0-9])\s*px/ describe ZABOJCASPAMU_LARGE_SIZE_FONT Fonts 20+px score ZABOJCASPAMU_LARGE_SIZE_FONT 0.3 # Dobra regula wzmacniająca # https://zabojcaspamu.pl/dobra-regula-wzmacniajaca/ meta ZABOJCASPAMU_TWO_FREEMIME ( FREEMAIL_FROM && MIME_HTML_ONLY) describe ZABOJCASPAMU_TWO_FREEMIME ( FREEMAIL_FROM && MIME_HTML_ONLY) score ZABOJCASPAMU_TWO_FREEMIME 0.9 # W domenie news lub info #https://zabojcaspamu.pl/w-domenie-news-lub-info/ header ZABOJCASPAMU_RETURNPATH_ATNEWS Return-Path=~/\@(news|info)\d+\./ describe ZABOJCASPAMU_RETURNPATH_ATNEWS W Return path jest '@(news|info)\d+\.' score ZABOJCASPAMU_RETURNPATH_ATNEWS 0.5 # Komentarz w kodzie HTML maila # https://zabojcaspamu.pl/komentarz-w-kodzie-html-maila/ rawbody ZABOJCASPAMU_FSL_HTML_COMMENT /